个人阅读笔记,如有错误欢迎指正
会议:NDSS 2023 [2202.04856] PPA: Preference Profiling Attack Against Federated Learning (arxiv.org)
问题
1. 客户端本地梯度的变化对其本地数据所有的类别具有敏感性,并且非独立同分布的异质性会进一步促进这种敏感型,因此可以针对这一特性进行攻击暴露客户端用户对类的偏好。
2.e.g.,如果数据集中不存在数据或数据量很小,则模型一开始就不具备泛化能力。模型将表现出更大的梯度效应,以改变相应神经元的权重,从而最小化模型的预期损失。
3.联邦学习具有异质性,这意味着FL用户在现实中具有不同的数据分布,并放大了本地数据集不同类别之间的梯度敏感性差异。
实现偏好攻击的三个挑战:
1.如何提取和量化每个类别(标签)的局部模型的梯度敏感性?
2.如何以细粒度的方式提高梯度敏感度的精度?
3.在给定量化敏感度的情况下,如何描述类别标签的样本量比例?
针对以上挑战的解决思路:
挑战1:给定一个模型,每个类用几个样本重新训练该模型,以获取每个类的梯度敏感度(变化)
挑战2:改变聚合方式,聚合“感兴趣的”客户端子集以提高梯度敏感性
挑战3:利用作为元分类器的攻击模型,通过将提取的用户上传模型和聚合模型的敏感度信息作为输入来自动预测目标用户数据偏好。
创新:
1.利用模型梯度信息构建了一种模型敏感度提取算法来确定每个类的梯度变化
2.设计了一种选择性聚合机制来提高偏好攻击的成功率
方法:
模型框架
上图框架中的步骤4中的元分类器是在离线阶段训练的,即sample用户并进行FL学习之前,服务器首先基于辅助数据集离线训练元分类器
- 从辅助数据集采样多个数据分布(以近似用户的异构数据分布),并训练相应的影子模型(将其首选类作为标签)
- 记录第个影子模型的参数和他的偏好类别
- 将划分为所有类别的再训练数据集(每个子集由来自单个类的样本组成)
- 记录再训练的模型参数并计算其类别的模型敏感度
- 标记元数据,并训练元分类器
算法1和FL不够适配,聚合后可能会导致敏感性衰减,因此从两个方面进行了改进:成对聚合、连续两轮的的差异敏感性。改进后的元分类器训练中,每个阴影模型将与另一个阴影模型配对。步骤如下
- 将具有多数(majorty)类的第个影子模型和剩余影子模型中的最高敏感度,即少数(minority)类,影子模型相聚和
- 服务器提取上步聚合模型的敏感度,并更新其对应的影子模型
- 提取下一轮中更新的第个阴影模型的模型敏感度(从聚合模型中提取,而在下一轮中仅从更新的局部模型中提取)
- 和之间的差异类似于FL中的两个连续循环,其首选类用于训练元分类器
元分类器的输入为上述中连续两轮模型的敏感度差异。为了最大化该差异值,提出了选择性聚合方法,以最大化参数(因为相对保持固定)
用本地用户模型再训练前后梯度变化的绝对值之和来量化偏好敏感性。 分别表示上传和再训练的模型参数,其中为用辅助数据集对上传的模型进行再训练后的参数
从多轮元分类器的分类结果中总结客户端偏好
为了防止数据特征被隐藏和淡化,提出了选择性聚合
对于一个目标客户端,将其和其他个拥有最大(最小)敏感度的模型相聚和成一个全局模型,然后将其发送回目标客户端,如图4所示,对于攻击者不感兴趣的其他用户,发送给他们的全局模型遵循正常聚合。在选择性聚合之后,服务器提取每个聚合模型的模型敏感性,以用于下一轮元分类器评测。
攻击性能:表二评估了元分类器训练和测试的精度,并且展示了模型实用性(聚合后模型精度)在有无攻击情况下效果近似,即 攻击具有良好的隐蔽性。图7同样显示了PPA的模型在精度上与可能引起用户怀疑的正常FL没有显著差异具有隐蔽性。
评价指标:
CP:类比例,表示用户数据集中每个类的比例。值越接近1,该类中的样本越多
CD:类优势,表示用户数据集中类的优势。分子是多数(少数)与最接近它的类之间的差值
UD:用户分散度,表示用户之间偏好多数类别的差异。分子是具有相同偏好类别的用户数量的最大差异
ID:表示FL中用户数据异质性的程度,并测量本地用户总数据集体积(大小)的方差
a)更高的CP意味着首选类别具有更大数量的样本,从而增加了该多数类别与其余类别之间的模型灵敏度差距,使元分类器更容易区分因此攻击精度提高
b)将CD从10%更改为100%,CD越高攻击精度越高。当CD接近0%时,多数类的数量接近第二多数类,PPA对多数类的准确性很低,这是因为为多数类和第二多数类提取的模型灵敏度相似,使得元分类器被混淆以确定真值。
c)无论组偏好是更一致(UD接近1)还是更离散(UD近似0),PPA都可以准确地描述FL中每个用户的偏好类别
d)验证对选择性聚合适用于不平衡数据下的FL,实验结果表明,用户拥有的数据量不会影响PPA的有效性。
数据量和拥有类的数量验证:数据量大小在一定程度上影响PPA的准确性,特别是当样本本身(即MNIST)具有不太丰富的特征时。然而,鉴于CIFAR10具有更丰富的功能,本地数据大小对攻击精度的影响非常有限。PPA的性能与本地拥有的类别数无关。
算法1与算法2的比较:算法2中的元分类器比算法1表现出了极大的改进性能:更低的损失和更高的精度。
a) b) 选择性聚合和FedAvg下的多数类模型敏感性 c) d)两种聚合下的差分模型敏感性
选择性聚合和FedAvg下的攻击准确率对比
聚合的模型数量从1到11的攻击精度变化,随着聚合模型数量增加攻击成功率降低
在差分隐私防御下的攻击精度
读后感:
本文的攻击方法为白盒攻击,选择性聚类需要篡改整个聚合过程,在实际应用中攻击方操作难度较大
实验只在差分隐私的防御方法上做了实验,差分隐私主要是通过对梯度加噪,而本文实际上相当于增加了梯度的角度,用过滤聚类这类方法能筛选出差异较大的客户端
本文假设的是恶意服务器而不是恶意客户端,过滤的方法大多是良性服务器用来排除恶意客户端的。未来的防御可以从客户端的角度入手,判断接收的全局模型是否安全。